Eredità digitale: un timido ingresso nel mondo del diritto.
Il D. Lgs. 10 agosto 2018 n. 101 – di adeguamento della normativa nazionale in materia di privacy, contenuta nel c.d. Codice Privacy, alle disposizioni del GDPR (1) – ha finalmente introdotto nel nostro ordinamento, all’articolo 2 terdecies, il tema dell’eredità digitale.
La norma in questione riconosce dignità ai dati personali al punto da prevedere la possibilità per i soggetti cui appartengono di lasciare disposizioni per il trattamento post mortem degli stessi.
L’art. 2 terdecies consente infatti a chi vi abbia un interesse proprio o agisca a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di tutela, di esercitare i diritti di cui agli articoli da 15 a 22 del GDPR, concernenti il diritto di accesso, di rettifica, di integrazione, di cancellazione e di portabilità dei dati, in relazione ai dati personali del soggetto deceduto.
Ciò concretamente significa che è consentito ai familiari di poter, salvo indicazioni contrarie del de cuius di cui si dirà a breve, non solo avere conoscenza di quali dati siano presenti on-line ma altresì di poterli in vario modo “gestire”.
Qualora il soggetto a cui appartengono i dati, in seguito defunto, abbia espressamente vietato l’esercizio dei diritti di cui sopra, con dichiarazione scritta presentata al titolare del trattamento (o a quest’ultimo comunicata), oppure se così è stabilito dalla legge, le suddette attività non dovranno essere consentite.
Sotto tale aspetto la portata della norma è dirompete e incredibilmente moderna, poiché consente a ciascun soggetto di disporre post mortem anche in relazione ai propri dati digitali, seppur il relativo campo di applicazione è limitato ai soli c.d. servizi della società dell’informazione, ossia quei servizi concernenti una vasta gamma di attività economiche che vengono svolte on-line, le cui caratteristiche sono adeguatamente specificate dalla normativa di riferimento (2)
È stata così riconosciuta anche a livello normativo la rilevanza dei dati digitali come un bene di cui, al pari di altri, ogni soggetto può liberamente disporre secondo le proprie volontà.
Quanto appena esposto assume particolare interesse se si considera che il contesto attuale è caratterizzato dalla presenza di soggetti aventi “plurime identità” digitali che si accompagnano a quella, comune a tutti, attinente al mondo fisico. È fuor di dubbio, dunque, che i dati personali presenti in rete contribuiscano a formare e a realizzare la nostra identità online e che, tali identità, possano avere uno specifico valore per gli affetti del defunto.
La portata pratica della norma mette in luce l’innovatività della stessa, specialmente se si considera la vastità delle informazioni che possono essere considerate “dato personale” (3), posto che quest’ultimo consiste in “qualsiasi informazione riguardante una persona fisica identificata o identificabile” ed avuto inoltre riguardo ai contenuti propri dei diritti di cui agli articoli nn. 15 – 22 del GDPR.
In relazione al diritto di accesso (4) ex art. 15 GDPR – consistente nel diritto riconosciuto in capo agli interessati del trattamento di ottenere dal Titolare la conferma che sia o meno in corso un trattamento di dati personali e, in caso affermativo, di ottenere l’accesso ai dati e alle informazioni trattate – ad esempio, se il soggetto, in seguito deceduto, ha disposto in senso limitativo o impeditivo sarà, di fatto, limitato o impedito ai relativi familiari (o agli interessati di cui al comma 1) di venire a conoscenza dei dati personali digitali dello stesso.
Di particolare interesse è inoltre il diritto alla cancellazione dei dati previsto dall’art. 17 del GDPR poiché, se così stabilito dal de cuius, questo impedisce che i dati del defunto vengano cancellati contro la sua volontà, con tutte le conseguenze che ne derivano a livello gestorio.
L’interessato defunto potrà dunque vietare ai suoi eredi o aventi causa di accedere a foto, contenuti, documenti, ecc. e di ottenerne copia (art. 15, co. 3 Reg. UE 679/2016), nonché di modificarli, integrarli e cancellarli, dunque, facendoli sparire dalla rete.
Due sole sono le eccezioni. Il divieto non dove produrre effetti pregiudizievoli:
a) ai diritti patrimoniali (e dunque non anche a quelli “non patrimoniali”!) che derivano dalla morte dell’interessato;
b) al diritto di difendere in giudizio i propri interessi.
Anche per quanto riguarda la manifestazione di volontà dell’interessato la norma si rivela dotata di grande modernità.
Il comma 3 così recita: “La volontà dell’interessato di vietare l’esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l’esercizio soltanto di alcuni dei diritti di cui al predetto comma.”
E’ implicito nella norma stessa che la dichiarazione scritta può consistere anche in un documento informatico (ovvero, nella “rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”) firmato elettronicamente. Del resto, l’ambito di operatività della norma in esame è limitata ai servizi della società dell’informazione.
Dunque, la manifestazione di volontà può consistere anche in una mail o nell’utilizzo dell’apposito servizio messo a disposizione dal fornitore del servizio della società dell’informazione per manifestare una volontà in tal senso.
Per quanto concerne gli aspetti relativi alla validità ed alla efficacia dei documenti informatici firmati elettronicamente la stessa è stabilita dal Codice dell’Amministrazione Digitale (c.d. CAD) all’art. 20, co. 1 bis (5), il quale prevede che il documento informatico soddisfa il requisito della forma scritta e ha dunque l’efficacia riconosciuta alle scritture private quando vi è apposta una firma digitale o altro tipo di firma elettronica qualificata o avanzata o, comunque, se il documento è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID con modalità tali da garantirne la sicurezza, l’integrità e l’immodificabilità e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore.
Negli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità.
E’ certamente più complessa invece la questione sulla natura giuridica di una tale dichiarazione che assume le sembianze ora di un atto unilaterale di disposizione, ma che potrebbe assumere anche quella del mandato post mortem exequendum, qualora il fornitore del servizio della società dell’informazione accettasse l’incarico con le relative conseguenze.
È infine stabilito dalla norma di cui trattasi che l’interessato abbia, in ogni momento, il diritto di revocare o modificare il divieto espresso nelle modalità di cui sopra, lasciando, pertanto, al soggetto la libertà di meglio disporre secondo le relative volontà della sua vita online.
La norma, dunque, ha aperto timidamente la porta al tema dell’eredità digitale, lasciando ancora numerose questioni irrisolte e problematiche relative, tra le altre, alla gestione pratica di tale diritto che troveranno risposta man mano che tale istituto troverà applicazione.
Avv. Alessandro d’Arminio Monforte
1 Il Regolamento (UE) n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.2 I “servizi della società dell’informazione” sono definiti nella direttiva 98/34/CE del Parlamento europeo, come: “servizi prestati dietro retribuzione a distanza, per via elettronica, mediante apparecchiature elettroniche di elaborazione e di memorizzazione di dati, e a richiesta individuale di un destinatario” e all’art. 2 del D.lgs. 70/2003 (in attuazione della Direttiva sul commercio elettronico 2000/31/CE) come le “attività economiche svolte in linea – online -, nonché i servizi definiti dall’articolo 1, comma 1, lettera b), della legge 21 giugno 1986, n. 317, e successive modificazioni”).3 Definizione di dato personale ai sensi dell’art. 4 n. 1 del Regolamento Ue n. 679/2016.4 Articolo 15 GDPR: Diritto di accesso dell’interessato: “1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato. 2. Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento. 3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune. 4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.”5 Art. 20 comma 1 bis del CAD prevede che “il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle Linee guida”.
